这个下载器已经流行了一阵子了。
今天看到的这个样本还挺时髦,植入系统后,释放的一个文件叫“庆贺十七大祖国越来越好”。此文件标为系统重启后重命名(不知会命名成那个类型的文件。汗!俺没重启,就把这窝病毒灭了。)
中招后,下载器从网上下载一堆病毒文件到系统中(图1)。此后,病毒打开IE浏览器,访问中国残疾人联合会网站(图2)。
病毒模块C:\windows\system32\LYMANGR.DLL插入services.exe进程。
中招后,SRENG日志可见:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinSysM><C:\windows\IGM.exe> []
<WinSysW><C:\windows\swchost.exe> []
<WinSys><C:\windows\IGW.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
正在运行的进程
[PID: 1448 / SYSTEM][C:\windows\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\LYMANGR.DLL] [N/A, ]
[PID: 6020 / baohelin][C:\windows\IGM.exe] [N/A, ]
[PID: 5568 / baohelin][C:\windows\swchost.exe] [N/A, ]
[PID: 3832 / baohelin][C:\windows\IGW.exe] [N/A, ]
特殊特权被允许: SeLoadDriverPrivilege [PID = 6020, C:\WINDOWS\IGM.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 5568, C:\WINDOWS\SWCHOST.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3832, C:\WINDOWS\IGW.EXE]
——————————————————
杀毒流程:
1、删除图1所示的病毒文件。下面4个文件须用IceSword强制删除:
C:\WINDOWS\system32\serdst.exe
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\IGM.exe
C:\WINDOWS\IGW.exe
2、删除病毒的注册表项。记得原来的C:\WINDOWS\system32\serdst.exe有个服务项,这次没看到。(也许与我没重启系统有关?)
图1
[用户系统信息]Opera/9.24 (Windows NT 5.1; U; zh-cn)
